Serverbasierte Profile und Rechte

Hallo, ich habe mehrere PC’S, von denen einer ein Windows Server 2003 ist.

Ich habe ihn so eingestellt, dass wenn man sich an einem Clienten anmeldet, jeweils ein serverbasiertes Profil geladen wird, was am Ende auch zurücksynchronisiert wird.

An einigen PC’s sind aber Daten drauf, an die nur ich mit meinem lokalen Profil herankommen möchte.

Wie kann ich bewerkstelligen, dass NIEMAND außer mir, mit meinem lokalen Profil, an diese Daten herankommt, sie liest, benutzt oder löscht?

Würde mich über Antworten freuen

Matze

Hei Matze,

Wie kann ich bewerkstelligen, dass NIEMAND außer mir, mit meinem lokalen Profil, an diese Daten herankommt, sie liest, benutzt oder löscht?

Indem du die Rechte entsprechend setzt.

Rechtsklick auf den Ordner/Eigenschaften/Sicherheitseistellungen, deinen Benutzer hinzufügen, ihm Vollzugriff geben, {Sicherheitshalber: das gleiche mit dem Admin}, Jeder herauswerfen, fertig.

lg, mabuse

Super, hat geklappt.

Gibt es eine Möglichkeit ganze Festplatten für den Anwender zu sperren, bzw. alle Anwendungen bis auf ein paar bestimmte?

hi!

Gibt es eine Möglichkeit ganze Festplatten für den Anwender zu sperren

Ja, das geht genauso wie mit Ordnern

bzw. alle Anwendungen bis auf ein paar bestimmte?

Das ist schon etwas komplizierter.
Da musst du entsprechende Rechte auf die jeweiligen Unterordner im Programme-Ordner setzen. Ist aber grundsätzlich möglich (nur halt Feinarbeit). Setze niemals Vollzugriff (Virenschutz), immer nur lesen und ausführen! Außer natürlich für den Admin.

Ich würde eine Handvoll Gruppen erstellen (beispielsweise „officeuser“, „videouser“ etc.), diesen Gruppen exclusiv Zugriff auf die verschiedenen Unterordner im Programme-Ordner geben, und die User dann je nach Bedarf in die eine oder andere Gruppe (oder halt in mehrere) aufnehmen.
Aber vergiss niemals, überall dem Admin Vollzugriff zu gewähren - sonst wirst du irgendwann mal heftigst basteln müssen

lg, mabuse

danke für die antwort.

das mit den laufwerken und ordnern sperren hatte ich schon hinbekommen, habe es allerdings nicht lokal wie du, sondern über gruppenrichtlinien im server eingestellt.

die 2. sache mit den programmen würde ich auch gerne über den server und nicht lokal regeln. weißt du da ne lösung??

die 2. sache mit den programmen würde ich auch gerne über den
server und nicht lokal regeln. weißt du da ne lösung??

Nein, tut mir leid.
Ich bezweifle aber auch, das sich das Server-basiert machen lassen wird, schließlich kann ja jeder Rechner andere Software oder die gleiche Software in verschiedenen Pfaden haben.

Würde allerdings problemlos gehen, wenn man die Software grundsätzlich nicht lokal, sondern immer in ein Verzeichnis auf dem Server installieren würde.

lg, mabuse

ok, und was muss ich dann einstellen, wenn ich was aufm server installiert habe?

ok, und was muss ich dann einstellen, wenn ich was aufm server installiert habe?

So meinte ich das nicht.
Ich meinte, du installierts zwar auf dem Rechner, schaltest allerdings bei der Abfrage, wohin, von C:\Programme auf ein Server-Verzeichnis um.

Bei mehrerem Rechnern kann es sein, das die Software auf den anderen Rechnern dann auch ohne Installation läuft, meisten wird es aber nicht gehen, da z.B. einige Registry-Einträge Fehlen. Dann auch auf diesen Rechnern lokal installieren und dabei immer über die Daten auf dem Server drüber schreiben.

Wenn’s auf allen Rechnern läuft, kannst du dann die Zugriffsrechte zentral auf dem Server setzen.

lg, mabuse

ok

Wenn’s auf allen Rechnern läuft, kannst du dann die Zugriffsrechte
zentral auf dem Server setzen.

was heißt das im klartext?

Also, ich konstruier jetzt einfach mal:

Du legst auf dem Server einen Ordner Programme an, Freigabe Vollzugriff für jeden.

Dann gehst du zu Rechner eins, installierst dort - sagen wir mal - Photoshop, Power DVD, DVD Shrink, TMPEG DVD-Author, und ein Office-Paket. Bei den Abfragen, wohin installiert werden soll, jedesmal auf den Ordner auf dem Server wechseln (die Programme müssen sich dort natürlich in Unterordner installieren, logisch).

Dann gehst du zum nächsten Rechner und machst dort das gleiche. Dann zum nächsten Rechner usw.
Dabei werden durch die neue Installation praktisch jedes Mal die Dateien der Programme (auf dem Server) auf’s neue überschrieben.

Kleiner Tipp: man macht sich das Leben sehr viel einfacher, wenn man als erstes eine Fernsteuersoftware installiert. Ich benutze UltraVNC, damit kann man sich sehr viel Fußwege ersparen.

Wenn du fit bist und es mehr als eine handvoll Rechner sind, dann kannst du natürlich auch mal schauen, ob du dir die Arbeit erleichtern kannst, indem du erst mal nachschaust, welche der Programme auch auf den anderen Rechnern normal arbeiten, ohne das du sie dort erneut installierst. Dann würde es natürlich ausreichen, einfach nur eine Verknüpfung ins Startmenü zu legen.
Es gibt noch ein paar andere Tricks, aber das würde hier zu weit führen.

Wenn die Programme auf allen Rechnern installiert sind, dann gehst du zum Server und legst dort drei Benutzergruppen an:
Graphikbearbeiter, Videobearbeiter, Officebearbeiter.

Dann öffnest du den Ordner Programme, klickst nacheinander die Unterordner mit den installierten Programmen drin an und gehst auf die Sicherheitseinstellungen. Jeweils „Jeder“ löschen, die Gruppe Administratoren mit Vollzugriff hinzufügen und die entsprechende Gruppe der Bearbeiter - aber nur mit Lesen und ausführen! - hinzu.
Die Netzwerk-Freigabe für Jeden des übergeordneten Ordners bleibt unangetastet!

Beim Photoshop-Ordner haben dann also nur noch die Administratoren Vollzugriff und die Gruppe Graphikbearbeiter die Rechte lesen und ausführen, sonst hat niemand Rechte auf diesen Ordner.
Bei den drei Ordnern mit den DVD-Programmen entsprechend nur Admins und Videobearbeiter und dem Office-Ordner logischerweise nur Admins und Officebearbeiter.

Ab dann kannst du die Rechte ganz einfach verteilen, indem du die einzelnen Benutzer auf dem Server einfach in die jeweiligen BenutzerGruppen aufnimmst bzw. wieder herausnimmst.

Hintergrund-Info: Es gibt bei Windows zwei Rechte - einmal die Freigaberechte und dazu die Dateirechte. Netto hat jeder Benutzer dann das Minimum aus diesen beiden Rechten. Man sollte das nur nicht wild mischen, üblich ist eigentlich die Freigaberechte auf Vollzugriff für „Jeder“ zu lassen (wobei ich „Jeder“ eigenlich immer durch „authentifizierte Benutzer“ ersetze, sicher ist sicher) und das „Finetunig“ dann über die Dateirechte, also die Scherheitseinstellungen erledigt.

Wenn du dann noch den Komfort auf die Spitze treiben willst, dann bastelst du dir noch ein Muster-Startmenü, in dem die einzelnen Programme-Verknüpfungen in Unterordner legst. Und dann bei den einzelnen Usern das Startmenü leeren und nur die jeweiligen Unterordner mit den Programmen, auf die sie auch Rechte haben, reinkopieren - dann sehen sie die anderen Programme noch nicht mal.

Hoffe, das hilft dir weiter.
Schönes Wochenende!
mabuse

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

danke, genau so habe ich mir das vorgestellt. spitze

achso, noch ne frage.

wie sperre ich denn den zugriff auf die lokal installierten programme???

wie sperre ich denn den zugriff auf die lokal installierten programme???

Da nimmst du einfach die Rechte auf die entsprechenden Ordner weg.

Also Jeder rauswerfen, Admin hinzufügen.
Geht natürlich nur lokal vor Ort (bzw. halt über eine Fernbedienung).
Aber mach das nur mit den Unterordnern, nicht dem kompletten Ordner „Programme“, das gibt ne Bruchlandung, weil da auch ein paar Dateien drin sind, die Windows braucht.

Aber wenn, dann würde ich das auch eisenhart durchziehen und alles auf dem Sever installieren, d.h. es gibt gar keine lokalen Programme mehr.

Schönes Wochenende!
mabuse

naja alles aufm server geht nicht, weil teilweise auch ein paar gamer-pcs mit an der domäne dran sind und die spiele dann von der schnellen eigenen festplatte kommen sollen und nicht vom server.